Guide

GDPR: cosa fare per essere a norma e non incorrere in sanzioni?

Il 25 maggio 2018 entrerà in vigore la nuova legge sulla privacy a livello europeo, il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation). Se stai pensando cosa fare in merito al GDPR, continua a leggere!

Nuova legge privacy: GDPR

Il RGDP (Regolamento generale sulla protezione dei dati) – o GDPR in inglese – è un regolamento direttamente applicabile in tutti i Paesi membri dell’Unione Europea e che, per quanto riguarda l’Italia, sostituisce il Codice della Privacy (Dlgs 196/2003). Questo nuovo regolamento è il frutto di un percorso iniziato anni fa e con la presentazione, nel gennaio del 2012, da parte della Commissione europea del “pacchetto protezione dati”.

Ti invito a guardare la mia intervista all’Avvocato Alberto Leoncini e per qualsiasi domanda a contattarlo direttamente:

Il Regolamento generale sulla protezione dei dati introduce regole più precise per quanto riguarda l’informazione dovuta agli utenti e la richiesta di consenso prima di procedere al trattamento dei dati personali. Con questa normativa si stabiliscono limiti al trattamento automatizzato dei dati personali, si delineano nuovi diritti e vengono stabiliti criteri molto rigorosi per il trasferimento dei dati al di fuori dell’UE.

Con il RGDP si stabilisce anche l’obbligo di comunicazione per i casi di violazione dei dati personali (data breach) e si introduce il “diritto all’oblio”. Imprese ed enti saranno esposti a maggiori responsabilità e, in caso d’inosservanza delle regole, sono previste sanzioni molto salate.

Se ti stai chiedendo se questa normativa riguarda anche i siti WordPress e Blogger, la risposa è sì. Questo regolamento introduce cambiamenti al trattamento dei dati su internet probabilmente epocali e devi chiederti, se non l’hai già fatto, se il tuo sito rispetta questa nuova normativa.

Per sapere cosa fare per rispettare il Regolamento UE 2016/679 GDPR “Regolamento generale sulla protezione dei dati”, continua a leggere questa guida. Ti daremo un punto di partenza per verificare se il tuo sito è in linea con la nuova normativa europea.

GDPR: Cosa fare per essere a norma con il nuovo Regolamento UE sulla protezione dei dati

legge privacy GDPR

Prima di tutto ti consigliamo di richiedere una consulenza legale e di consultare un esperto per assicurarti al più presto che il tuo sito rispetti il nuovo regolamento UE 2016/679. Sul sito del Garante della Privacy puoi trovare una pagina informativa molto chiara e dettagliata e anche un calendario di incontri volti alla formazione degli addetti ai lavori.

Uno dei cambiamenti più evidenti e che probabilmente sarà maggiormente notato, è che tutti i visitatori del tuo sito ora dovranno confermare il consenso al trattamento dei dati personali. La prima cosa da fare per rispettare il GDPR è scrivere una informativa sulla privacy ben chiara e indicare che tipo di dati sono raccolti, archiviati, chi sono gli attori di questi processi e per quanto tempo i dati sono immagazzinati.

Questo nuovo approccio al trattamento dei dati personali si estende a tutti i siti che operano sul territorio dell’Unione Europea o che interagiscono con i cittadini dell’Unione Europea.

Con il nuovo regolamento cambia anche l’approccio ai cookies. Gli avvisi per l’utilizzo dei cookies vanno mostrati non appena si carica il sito (sono quindi di tipo preventivo) e l’utente deve avere la possibilità di scegliere se accettare i cookies o meno. Se un utente rifiuta l’accettazione dei cookies, il sito web deve comunque permettere la navigazione. Infine, gli utenti devono essere in grado di poter ritirare il consenso in qualsiasi momento e il proprietario del sito deve mantenere un registro che provi lo stato del consenso per ogni utente.

Assistenza WordPress rapida e veloce con SOS WP

Un aspetto importante è che con il regolamento RGDP (o GDPR in inglese), si vanno a regolamentare anche quei dati che non sono direttamente personali ma che possono comunque identificare o aiutare a identificare un individuo. Ovviamente questo approccio fa subito pensare a strumenti molto usati, tra cui Google Analytics, che utilizzano dati come l’indirizzo IP.

In sostanza il titolare del sito web sarà tenuto a proteggere i dati raccolti da terze parti e a fornire chiare informazioni ai visitatori del sito.

La nuova legge sulla privacy focalizza molto l’attenzione sul tipo di dati e contenuto memorizzato dai siti e su come questi elementi sono trattati, da chi, a che scopo, dove sono immagazzinati e per quanto tempo.

GDPR: cosa fare per garantire il diritto all’oblio

Con il nuovo regolamento UE, gli utenti del web avranno il “diritto all’oblio”. Con questo diritto si potrà ottenere la cancellazione dei propri dati personali anche online. Se un utente effettua questa richiesta, i responsabili dei dati sono tenuti a chiedere la cancellazione a chiunque li stia trattando (terze parti). Questo diritto può essere limitato solo in casi ben specifici, per esempio il diritto alla difesa in sede giudiziaria etc.

GDPR: cosa fare in caso di violazione dei dati personali (data breach)

Il responsabile per i dati personali è tenuto a comunicare una violazione dei dati entro 72 ore dal momento in cui ne viene a conoscenza. Questo significa che se il tuo sito è stato vittima di un attacco informatico che è risultato in una violazione dei dati degli utenti, dovrai comunicarlo alle autorità competenti. Se dovesse costituire un rischio elevato per i diritti e le libertà (esempio: perdita dati di accesso, dati di pagamento etc.) vanno informati anche gli utenti interessati. Maggiori informazioni consultando gli articoli 32-34 del RGDP.

A questo riguardo, è molto importante che l’hosting comunichi tempestivamente al cliente il verficarsi di una violazione (e SiteGround, per esempio, ha già comunicato di essere conforme al GDPR). Se si verifica una violazione nei suoi server, l’hosting è obbligato a comunicarlo ai clienti entro 72 ore. Dal momento in cui viene inviata questa comunicazione, il responsabile di un sito avrà altre 72 ore di tempo per comunicarlo ai propri clienti e alle autorità.

Non ti sei adeguato alla GDPR? Sanzioni molto salate

Nel caso in cui le varie attività non si adeguano alla nuova normativa, si rischiano sanzioni molto salate: fino a 20 milioni di euro o al 4% del fatturato globale annuale. Se vuoi avere maggiori informazioni e chiarimenti sulle sanzioni basta leggere l’articolo 83 EU RGPD “Condizioni generali per infliggere sanzioni amministrative pecuniarie

GDPR: cosa fare per controllare se il tuo sito rispetta il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati”?

Checklist cose da controllare per il GDPR

Questo è un argomento molto delicato e i controlli da fare possono variare a seconda dei siti e del tipo di utenti. Ripetiamo di nuovo l’invito a consultare un esperto in materia legale e di protezione dei dati, soprattutto se gestisci un sito che ha una mole consistente di traffico. Un’ottima fonte di informazione è rappresentata dalla Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali rilasciata dal Garante della Privacy.

Un modo per approcciare questi controlli è quello di creare un documento, una lista che definisce il tipo di utenti che visitano il tuo sito e che tipo di dati raccogli direttamente o indirettamente (terze parti, Google Analytics, plugin etc.) da questi gruppi. Una volta che hai i gruppi di utenti ben delineati passa a controlli organizzati in maniera gerarchica:

  1. Servizio di Hosting e gestori:
    Controlla con il tuo servizio di hosting e con i tuoi amministratori come gestiscono i dati.
  2. Backup:
    Dove e come sono salvati i backup del tuo sito?
  3. Plugin:
    Questo passaggio può richiedere un po’ di tempo. Dovrai capire quali dati raccolgono i plugin da te utilizzati. I servizi che raccolgono o che possono raccogliere dati sono davvero tanti, per esempio: moduli di contatto, profili utenti, e-commerce, e-mail marketing, servizi di link, filtri spam, sicurezza, strumenti per backup automatizzati, statistiche varie e monitoraggio login etc.
  4. Servizi esterni all’Unione Europea:
    Se usi servizi esterni all’Unione Europea, dovrai controllare che rispettino il nuovo regolamento.
  5. Durata conservazione dati:
    Per quanto tempo conservi i dati degli utenti? La durata è giustificabile?
  6. Sicurezza:
    Offri protezione sufficiente per i dati dei tuoi utenti? Che tipo di utenti visitano il tuo sito?
  7. Marketing:
    Usi strumenti automatizzati per il marketing? Fai A/B testing?

Dopo aver fatto questi controlli, dovrai chiederti se puoi facilmente giustificare le ragioni per cui raccogli e gestisci i vari dati in ciascuno degli step. Dovrai avere il consenso degli utenti per trattare i dati, dovrai registrarlo e deve essere ottenuto per ogni elemento (eventi, newsletter etc.). Come accennato prima, dovrai anche permettere agli utenti di ritirare il consenso.

Se identifichi dati personali a cui non dovresti avere accesso, rimuovili. Disabilita i plugin e i servizi che non rispettano il nuovo regolamento; cerca alternative se possibile.

Crea della documentazione e procedure da adoperare per l’archiviazione dei dati e per quando gli utenti ti chiederanno di modificare o cancellare i propri dati.

Informa i tuoi utenti in maniera chiara su come tratti i loro dati personali e ottieni il loro consenso.

Troppe informazioni? Ecco una sintesi

Riassumendo, il nuovo regolamento GDPR dice che se un sito raccoglie, memorizza o usa qualsiasi dato di un cittadino EU dovrai rispettare i seguenti punti:

  • Informa gli utenti: chi sei, come raccogli i dati, per quanto tempo e dove finiscono i dati.
  • Ottieni consenso: ricevi il consenso degli utenti al trattamento dei dati.
  • Permetti l’accesso ai dati: gli utenti devono poter accedere ai propri dati, controllarli e se vogliono cancellarli (diritto all’oblio).
  • Violazione dei dati: informa gli utenti se avvengono violazioni ai loro dati (data breach).

Per chiarirti ancor meglio le idee il Garante della Privacy ha anche rilasciato una guida sintetica che spiega come applicare il GDPR, ti sarà di grande aiuto.

Ti consigliamo anche di guardare questa infografica creata dalla Commissione Europea, se avevi ancora dei dubbi sul da farsi, li spazzerà via.

La sicurezza dei dati degli utenti è sempre più importante. Impara come rimuovere i malware dai siti WordPress.

Conclusione

In questa guida abbiamo parlato della nuova legge sulla privacy: il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation). Ti abbiamo anche evidenziato i cambiamenti principali, fornito tanto materiale per ulteriore analisi e fornito un punto di partenza per assicurarti che il tuo sito rispetti questa nuova normativa.

L’intervista con l’avvocato Leoncini ci ha permesso di soffermarci sui punti più importanti e chiarire ulteriori dubbi.

Molti webmaster storceranno il naso e saranno probabilmente infastiditi dai cambiamenti introdotti dal GDPR. Allo stesso tempo dobbiamo considerare la mole incessante di dati che vengono raccolti e trasmessi sul web.

Se rifletti un attimo su quanto della tua vita personale ormai finisce sul web, consapevolmente e non, ti renderai conto che simili normative sono inevitabili. Quanti casi di attacchi informatici sono stati comunicati con troppo ritardo, causando danni enormi a ignari cittadini? Quante volte i dati personali sono stati usati in maniera illegale per clonare identità, fare truffe o marketing invasivo? Basta ricercare questi argomenti su Google per farsi velocemente un’idea.

Tu cosa ne pensi?

Sei a favore di questo regolamento?

Non sai cosa fare?

Parliamone nei commenti.

GDPR: cosa fare per essere a norma e non incorrere in sanzioni?
4.5 (90%) 2 votes

NOTA: Questa guida è stata aggiornata il

Acquistare un dominio e un hosting WordPress con SiteGround

Altre guide della stessa
categoria

44 COMMENTI
Commenta
  1. Simone

    Interessante l’articolo, ma come altri hanno scritto resta sempre qualche dubbio, io faccio (anche) siti web, e ne ho fatti a diversi clienti che hanno varie tipologie di aziende:
    1) cosa devo fare – oltre ad installare il plugin che fa apparire il pop up e aggiungere una pagina “privacy” – nel sito (il testo l’ho ripreso da un altro sito modificando alcuni dati)?
    2) è meglio consigliare a ciascun cliente di farsi fare consulenza legale per vedere se il sito è conforme e nell’eventualità far redigere un testo appropriato per la privacy?
    3) quanto è responsabile chi gestisce il sito web dal punto di vista della conformità? io faccio siti non sono così ferrato in questa materia (tediosa) che alla fine esula un po’ da certe competenze tecnico / legali
    4) premesso che molti siti che ho fatto hanno grosso modo lo stesso schema con analytics, form contatto, alcuni newsletter, c’è un modo più snello per rendere conformi i siti web?
    Grazie!

    Rispondi
    • Team

      Ciao Simone, conviene (soprattutto se il sito è di una certa tipologia, non un “semplice” blog ma un ecommerce, un sito aziendale etc..) consultare un legale esperto di legislazione web per verificare di inserire correttamente tutte le info necessarie. Il webmaster non è responsabile, lo è il titolare delle informazioni. Non vi è un modo più “snello” per rendere un sito conforme all’odierno GDPR, spesso la normativa può sembrare (anche al di fuori dal web!) ostica e oscura, ma dopo un primo approccio le configurazioni necessarie non saranno così incomprensibili o difficili da attuare. WordPress stesso viene incontro a questo, con modifiche ed aggiustamenti (vedi la creazione di una pagina di default per la Privacy) per essere uno strumento sempre più compatibile con la legislazione vigente. Un saluto, continua a seguirci!

      Rispondi
  2. Luca

    Ciao, sono appena andato sul sito di Iubenda e vedo che sia nel piano Free che Pro c’è “Privacy e Cookie Policy” + la “Cookie Solution”.

    Significa che non serve più suddividersi tra Iubenda per la Privacy Policy e Cookiebot per la parte relativa ai cookie?

    Rispondi
  3. giuseppe

    Salve, sono un suo assiduo lettore. Le volevo chiedere questo. Ho un sito web con il quale fornisco servizi professionali, e sto pensando di implementare un sistema di prenotazioni. Ovviamente chiederò gli estremi del cliente tra cui l’indirizzo di dove deve essere effettuata la prestazione con ovviamente il consenso del cliente e i riferimenti alla Privacy Policy (redatta con Iubenda piano gratuito, per il momento). Le chiedo, secondo lei, sono soggetto a notifica garante con pagamento della somma richiesta (se non ricordo male 150 euro) oppure no ? Quanto sopra rientra nel campo della profilazione ? La Privacy Policy redatta prevede nel dettaglio trattamento dati la sezione esplicativa “contattare l’utente”.
    Ultima domanda. Se un cliente registrato mi dovesse chiedere la cancellazione dei suo dati cosa è sufficiente trasmettere allo stesso cliente ?
    Mi scusi se mi sono dilungato, ma non trovando risposte sufficientemente valide in rete, considerata la sua professionalità ho pensato di inviarle questo messaggio.
    Ringraziando anticipatamente si porgono cordiali e distinti saluti.

    Rispondi
    • Team

      Ciao Giuseppe, da quanto ci dici non riteniamo che tu sia soggetto al pagamento regolato dall’ultimo GDPR. Sarebbe però meglio che tu contattassi direttamente il nostro team tecnico per avere maggiori informazioni sull’argomento e per avere più delucidazioni su quali strumenti siano più adatti per le tue necessità. Rimaniamo a disposizione, un saluto e grazie del tuo commento!

      Rispondi
  4. Carlo

    Salve , ho visto che promuovete sul vostro sito l’hosting di siteground, ma sbaglio o sentivo dire che siteground non è compatibile con il gdpr dato che al contrario di aruba prevede il pagamento del site scanner, infatti senza quel servizio (SG sitescanner Malware Monitoring) siteground secondo la loro DPA, comunica violazioni entro le 72 ore, ma questo non permette ai titolari del sito di poter a loro volta comunicarlo ai propri clienti entro le 72 ore. Queste indicazioni lo avute da alcuni DPO che hanno escluso siteground come hosting conforme al GDPR.
    https://it.siteground.com/blog/siteground-ora-conforme-al-gdpr/

    Potete dirmi la vostra opinione?

    Grazie della risposta

    Rispondi
    • Team

      Ciao Carlo! la interpretazione del GDPR non ti è stata data correttamente. Le 72 ore non partono da quando il problema si verifica, ma da quando il titolare del sito ne è a conoscenza. Quindi, dopo che SiteGround ti informa della violazione avvenuta, puoi comunicarla (entro 72 ore) ai tuoi utenti. Speriamo di aver chiarito questo aspetto, rimaniamo a disposizione :)

      Rispondi
  5. Ale

    Ciao, vorrei sapere se avreste da consigliare qualche plugin gratuito e funzionante per soddisfare la GDPR.
    Ho un piccolo sito personale e ho provato con Cookiebot ma comunque richiede pagamento.
    Anche altri plugin presi dal repository di WP, dopo averli installati, si scopre che funzionano solo nella versione PRO oppure nella free non ci sono istruzioni e diventa impossibile maneggiarli.
    Avreste qualche dritta?
    Grazie in anticipo

    Rispondi
  6. Chiara

    Ciao a tutti. Ho delle domande perchè questo GDPR mi sta facendo esaurire. Ho un mini blog su wordpress.com, con un abbonamento personale che non mi permette di installare nessun tipo di plugin. Visto che si parla di plugin ovunque, vorrei sapere cosa deve fare chi come me non può installarli. Ho generato una cookie policy e una privacy policy con Iubenda. Ma ora cosa devo fare? Non ne ho la più pallida idea.
    Aspetto una vostra risposta miracolosa, grazie mille

    Rispondi
    • Team